bbober25

Cогласен что не DPI ))) Нужно было чтобы правила iptables пользовались каким-либо DPI и было принято соответственное ращение после инспектирования пакета. Удалось собрать модуль xt_ndpi с которым работает iptables (Debian 10 iptables v1.8.2 (nf_tables)) Может кому пригодится: https://github.com/vel21ripn/nDPI/tree/netfilter-2.6

Сам не напишу точно) Не логично получается то что были инструменты и вдруг перестали существовать... Потребность то в них не отпала. Видимо ест другие инструменты? Необходимо маркировать трафик p2p. Но, как оказалось практически нечем, или так ищу)))

Коллеги, добрый день! Мы много разговариваем про DPI. Вопрос (прошу прощения если не совсем по теме), кто какой DPI использует? Есть роутер на Debian 10. Третий день ищу DPI для Iptables - не могу найти, все проекты OpenDPI, nDPI и т.д. давно заброшены и не развиваются. Собрать модули для Debian 10 нет возможности. Не подскажите DPI для Iptables (iptables v1.8.2 (nf_tables))?

Коллеги, может кому понадобится... На сегодня FreeBSD не поддерживает PostNAT NetFlow v9, родной модуль ng_neflow это не поддерживает, стороннего ПО отыскать не удалось. Выход -> Пересобрали NASы на Debian, IPT-NetFlow умеет PostNat. Правда, придется пользоваться iptables вместо нового nftables, так как модуль IPT-NetFlow не работает с NFTables.

Коллеги, кому либо удалось реализовать FreeBSD + сенсор, который умеет работать со информацией до и после NAT?

Коллеги, добрый день! Как решили вопрос? У нас тоже BRASS'ы собраны на FreeBSD + MPD5 + IPFW NAT Требуют выгрузку NetFlow v9 c адресами до НАТ с адресами после НАТ. Но Brass'ыNetFlow выгружает только IPv4 Standard 256 а они требуют IPv4 with NAT Standard 260 - т.е. дополнительные поля. Знаем что Cisco умеет это, а вот как быть с FreeBSD и IPFW NAT - не знаем, объемся месяц, ничего не получается. Есть у кого мысли ?

Коллеги, всем доброго времени суток! Ступор... Может кто сталкивался? Необходимо получить NetFlow v9 - набор данных (полей) должен быть IPv4 with NAT Standard (ID шаблона 260) Имеем сервер доступа BRASS: OS: FreeBSD srv_bras3 10.4-RELEASE FreeBSD 10.4-RELEASE На BRASS, для подключения абонентов, поднят MPD5 (авторизация по Radius) + IPFW NAT Со стороны BRASS на NetFlow коллектор прилетает NetFlow v9, но не с тем набором данных - отсутствуют поля с данными по NAT трансляции (прилетают данные по шаблону IPv4 Standart у которого ID 256), а нужен набор данных IPv4 with NAT Standard у которого ID 260 Вопрос: Как сменить набор данных NetFlow v9 , которые должны учитывать NAT? Сейчас так: Смотрим WireShark, данные только по 256 шаблону Шаблоны данных NEtFlow v9: IPv4 Standard 256 IPv4 Enterprise 257 IPv6 Standard 258 IPv6 Enterprise 259 IPv4 with NAT Standard 260 IPv4 with NAT Enterprise 261 IPv6 with NAT Standard 262 IPv6 with NAT Enterprise 263

Всем спасибо за участие, тему закрываем. Если кому интересно, последним штрихом стало поставить IGMPv2 на IGMP роутере.

Почти, товарищи, почти... на LTE-8X следующие настройки (на скриншотах), на NTE-2 правил никаких нет, т.к. за ними стоят коммутаторы доступа L2/ Абонент подписывается на группу и эта подписка видна в Multicast Groups на LTE-8, далее эта подписка видна на коммутаторе агрегации, т.е. все хорошо и кино показывает. Но, при отключении от группы, исчезает только на LTE-8X в Multicast Groups (так и должно быть), на коммутаторе агрегации остается эта группа, т.е. с LTE-8X пакет на отключение от группы не проходит дальше самого LTE-8X, в итоге стрим отключается на IGMP маршрутизаторе по таймауту. Вопрос, коллеги, почему запрос на отключение от группы не проходит дальше LTE-8X в стону реагирующего коммутатора?

XyXEL XGS-4728F победил. Что имеем: 1. Запросы на присоединение к группе проходят от абонента через коммутатор доступа, через среду GePON, попадают на коммутатор агрегации, попадают на IGMP роутер. 2. IGMP роутер начинает вещать мультикаст на коммутатор агрегации, коммутатор агрегации вещает на порт LTE-8X и там мультикаст остается/стопарится, до NTE-2 и коммутатор доступа не доходит. Курим дальше...

Ок, буду смотреть в сторону zuxel-xgs-4728f, если кино будет показывать на абонентском коммутаторе подключенному к корню, то потом думать со средой GePON, пока что, думаю, не в GePON дело...

Дефолтные профили пропускают все прозрачно, т.е. если на FrontPort0 присутствует vlanX то и на любом PonPort, и естественно на портах NTE тоже будет этот vlanX, при условии если он добавлен на Switch LTE-8X. На рисунке (извиняюсь за качество), можду абонентским коммутатором и IGMP роутером, помимо среды GrPON, изображен L3 Коммутатор zuxel-xgs-4728f, может он не пропускает. Буду смотреть. Если настраивать IGMP на LTE-8X значит его нужно делать Quirer'ом я так понимаю? И L3 zuxel-xgs-4728f (агрегация) тоже нужно настроить Quirer'ом?

Профили на NTE-2 стоят дефолтные, т.е. типо моста между L2 коммутаторами (чердачными) и FrontPort0 на LTE-8X. Но Мультикаст (запросы) не ходят.   Я так понимаю, что это в том случае, если настраивать IGMP на LTE-8X, у нас же речь идет о том, чтобы сделать прозрачно через среду GePON, т.е., грубо говоря соединить два коммутатора можду которыми среда GePON. Профили на NTE-2 стоят дефолтные, но почету то не проходит IGMP Report Packet. Куда копать, подскажите?

Здравствуйте! Кто сталкивался с тем, чтобы пропустить мультикаст "прозрачно" через GePON Eltex LTE-8X + NTE-2? Немного о сети: NTE-2 стоят на чердачных помещениях, за ними L2 коммутаторы доступа, к которым подключены абоненты. Необходимо чтобы запрос на присоединение к группе прошел от коммутатора доступа к IGMP routrer'у через NTE-2 и LTE-8X, т.е. как будто их нет, а назад полился за прошеный канал IPTV (т.е. на все NTE-2 и соответственно на все коммутаторы за ними). Профили на NTE-2 default, т.е. необходимые vlan настраиваются на коммутаторах за ONT-2. Если коммутатор доступа напрямую соединить с IGMP маршрутизатором - все работает, через среду GePON - нет. При прикрепляю схему (прошу прощение за качество).

Отписываюсь по тому как удалось решить вопрос. Скажу сразу, это что-то очень странное. Мы даже и не подозревали, что настроить это можно только через одно место))) В итоге: 1. Версия IOS 15.0 и 15.1 поддерживают match vlan, но только от 1 до 1005!!! При этом сконфигурированый map-policy удается повесить на физический интерфейс, без добавлений sub интейфейсов. 2. Версия IOS 15.2 поддерживают match vlan, от 1 до 4095!!! И все казалось бы хорошо, вопрос закрыт, но не тут то было))) Повесить такой map-policy на физический интерфейс можно только при наличии sub интерфейса, причем любого, даже не имеющего отношения к тем vlan которые матчим. Но и тут все не просто, а именно polyci начинает работать только на output. А при удалении sub интерфейса начинает работать и input. Для того, чтобы изменить map-policy который используется, необходимо обязательно создать любой sub, при этом service-policyc input перестает работать до тех пор, пока не удалить sub. class-map match-any smid match vlan 16 106 3040 3045 3050 class-map match-any obl match vlan 15-16 19 106 3012-3013 3016 3020 3025 3030 3035 3085 3115 3135 3300 class-map match-any okt match vlan 16 1001 1006-1020 3011 3055 3060 3065 3070 3075 3080 3090 3095 4003 4023 ! policy-map 10 class okt police 10000000 1875000 3750000 conform-action transmit exceed-action drop violate-action drop class obl police 10000000 1875000 3750000 conform-action transmit exceed-action drop violate-action drop class smid police 10000000 1875000 3750000 conform-action transmit exceed-action drop violate-action drop policy-map 40 class okt police 40000000 7500000 15000000 conform-action transmit exceed-action drop violate-action drop class obl police 40000000 7500000 15000000 conform-action transmit exceed-action drop violate-action drop class smid police 40000000 7500000 15000000 conform-action transmit exceed-action drop violate-action drop interface GigabitEthernet0/0 no ip address ip flow ingress ip flow egress no ip route-cache duplex auto speed auto media-type rj45 negotiation auto service-policy input 40 service-policy output 10 ! connect obl1 GigabitEthernet0/0 GigabitEthernet0/1

Дело в том, что стоит задача организовать полосу с пропускной способностью в 400 Мб/с для группы vlan, при этом все эти vlan - динамически делят эту полосу. Вот и было решено, матчить по vlan, и потом и резать скорость на интерфейсе всей это группе, находящейся в class-map.

А что ж с маршрутизаторами? Vlan 4001 (т.е. выше 1005) отлично ведет себя на интерфейсах данного маршрутизатора. Но проблема заключается при создании class-map class-map match-any NAME_OF_CM match vlan 14 match vlan 15 match vlan 16 match vlan 17 match vlan ? <1-1005>

Это прям издевательство) Вот оно, на поверхности решение глобальной вопроса, но возникает маленький ньюанс с vlan от 1 до 1005 и все. Ступор. Как же заставить понимать match vlan выше 1005?

Я подозреваю, что это относится к коммутаторам? на маршрутизаторе такого нет. Или я заблуждаюсь? маршрутизатор ругается, говорит нет такого: ROUTER(config)#vtp ? % Unrecognized command

Всем привет! Ступор. Информации нигде не нашел. Просьба откликнуться. Cisco router 7201 при описании class-map не дает выбрать vlan выше 1005 class-map match-any NAME_OF_CM match vlan 14 match vlan 15 match vlan 16 match vlan 17 match vlan ? <1-1005> Необходимо выбрать vlan из всего диапазона, например 2000, 2075 и т.д. Находил информацию, о том что в базе vlan на устройстве хранятся только "стандартные" vlan (1-1005), и для того чтобы использовать extended vlan (>1005) - нужно хранить их в отдельном файле. Кто сталкивался с данной проблемой и знаком с процедурой, просьба откликнуться.

если реализовывать так, как вы описали, то получается ограничить можно только один проходящий вилан. Задача стоит ограничивать скорость по группам виланов. Ниже приблизительная схема. Как это реализовать пока не могу понять.

Всем привет! Бьюсь несколько дней над задачей и все никак, пришло время спросить гуру. Оборудование: Cisco router 7201. Задача: сконфигурировать 2 порта мостом и иметь возможность резать скорость на проходящем vlan, или группе проходящих vlan через этот мост. Что сделано: Мост работает (пока только 14 vlan) Что требуется: Ограничить скорость в этом vlan Конфигурация: class-map match-all Internet_limit match vlan 14 ! ! policy-map Internet_5 class Internet_limit police 1024000 153600 307200 conform-action transmit exceed-action drop violate-action drop class class-default police 1024000 153600 307200 conform-action transmit exceed-action drop violate-action drop ! bridge irb ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 no ip route-cache cef no ip route-cache duplex full speed auto ! interface GigabitEthernet0/0 no ip address no ip route-cache cef no ip route-cache duplex auto speed auto media-type rj45 negotiation auto ! interface GigabitEthernet0/0.14 description OTPSPD encapsulation dot1Q 14 no ip route-cache bridge-group 1 service-policy input Internet_5 service-policy output Internet_5 ! interface GigabitEthernet0/1 no ip address no ip route-cache cef no ip route-cache duplex auto speed auto media-type rj45 negotiation auto ! interface GigabitEthernet0/1.14 encapsulation dot1Q 14 no ip route-cache bridge-group 1 service-policy input Internet_5 service-policy output Internet_5 ! interface GigabitEthernet0/2 no ip address no ip route-cache cef no ip route-cache shutdown duplex auto speed auto negotiation auto ! interface GigabitEthernet0/3 no ip address no ip route-cache cef no ip route-cache shutdown duplex auto speed auto negotiation auto ! interface BVI1 no ip address service-policy input Internet_5 service-policy output Internet_5 ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ! ! ! ! control-plane ! bridge 1 protocol ieee ! ! ! ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 ! end Как видно policy выставлены, даже с BVI интерфейсов (а вдруг))) ) Вобщем не хотит роутер резать скорость.

В моих TP-LINK'ах невозможно это реализовать. Терять пропускную способность, без того небольшого линка не вариант. Вот же незадача...

В том то и дело, если переходить на L3, то придется тащить BRAS, канал связи (обратный) на СОРМ... Надежность падает, ресурс использоваться начинает неэффективно... Не верю, в то что нет решения))) Нужно думать)))